Google、Goパッケージのセキュリティリスク可視化ツール「Capslock」を公開：脆弱性スキャンツールとの違いは？

Googleのオープンソースセキュリティチームは、Goパッケージのセキュリティリスクを可視化する「Capslock」を公開した。

[＠IT]

　Googleのオープンソースセキュリティチーム（GOSST）は2023年9月15日（米国時間）、Goパッケージのセキュリティリスクを可視化する「Capslock」のα版をGitHubで公開した。

　Capslockは、指定されたパッケージとその依存関係の中で実行されている特権操作（ネットワークアクセスや任意のコード実行）を可視化するCLIツールだ。特権操作を実行しているコード行を自動で特定することで、パッケージの透明性や依存関係の理解を支援する。

　GOSSTは「悪い依存関係を避けるためには、第三者が提供するライブラリの全てのコード行をレビューする必要があり、容易ではない。ほとんどのソフトウェアは外部ライブラリに依存しており、外部ライブラリが悪意を持つケースや、2021年に起きたLog4jの脆弱（ぜいじゃく）性（Log4shell）のような、過度に広範な特権を使用しているケースがあり、サプライチェーン攻撃のリスクがある。パッケージが持つ機能に対して透明性を確保することは、ソフトウェア開発においてセキュアコーディングを目指す全ての人々に役立つ」と述べている。

Capslockを使用したセキュリティリスク可視化のイメージ（提供：Google）

　GOSSTは、Capslockをケイパビリティ分析ツールと位置付けており、従来の脆弱性管理ツールとの違いを、次のように述べている。

　「サプライチェーンセキュリティにおいて脆弱性管理ツールは重要だが、対象のパッケージや外部ライブラリが安全に使用できる依存関係かどうか全体像を把握するものではない。セキュリティポスチャーにケイパビリティ分析を追加することで、依存関係から予想される動作を特定し、潜在的な弱点や依存関係の使用に関する多くの情報に基づいた意思決定が可能になる」

　GOSSTによると、CapsLockをGoパッケージ向け脆弱性管理ツールと併用することで、以下のような取り組みが可能になるとした。

• 特権レベルのコード行を特定し、監査、コードレビュー、脆弱性パッチなどの優先順位を高める
• 依存関係の比較や、既存の依存関係が不適切になったことを確認し、代替パッケージを探す
• パッケージ内における望ましくない機能を可視化し、脆弱性やサプライチェーン攻撃のリスクを特定する
• パッケージバージョンまたは依存関係の変更で予期せぬ機能が追加されていないかどうかを監視する機能をCI/CD（継続的インテグレーション／継続的デリバリー）パイプラインに統合する
• ネットワークに起因する脆弱性アラートを受けた際に、ネットワークアクセス機能があるGoパッケージを確認するなど、調査範囲をフィルタリングする

　GOSSTは今後、Capslockの機能強化や他のプログラミング言語への拡張を目指していくとしている。